|
|
|
| Читал, что заменители (знак ? в SQL-запросе) метод prepare автоматически экранирует.
То есть получается, что больше никаких подготовок производить не нужно.
Второй вопрос, если использовать bindparam, то переменные в запросе тоже будут экранированными? | |
|
|
|
|
|
|
|
для: lgar
(21.04.2014 в 19:03)
| | Ничего не заменили, просто в PDO есть именованные метки (:name) и есть не именованные (?).
Не обязательно bindparam для того, чтобы запрос стал безопасен, можно сформировать тело запроса (prepare), и выполнить метод execute передав в него массив значений - метки будут сопоставлены автоматически, правда если подготовка запроса не содержит ошибок. | |
|
|
|